- Un error en la integració de Discord a Arc Raiders guardava DMs i tokens en arxius locals sense xifrar.
- L'enginyer Timothy Meadows va descobrir el problema i ho va fer públic, generant preocupació per la privadesa.
- Embark Studios va llançar un hotfix urgent que atura el registre d'aquestes dades i revisa la integració.
- Discord actualitza el seu Social SDK i reforça les directrius per evitar incidents similars en altres jocs.
el recent error de privadesa de Discord a Arc Raiders ha encès totes les alarmes entre els jugadors de PC, especialment entre els que solen vincular els comptes i xatejar mentre juguen. El que semblava una integració còmoda per coordinar partides s'ha acabat convertint en un cas cridaner de com una simple distracció tècnica pot posar en perill la confiança de la comunitat.
En qüestió d'hores, un informe tècnic, una forta reacció dels jugadors i una resposta ràpida de l'estudi han convertit aquest incident en un dels exemples més comentats de vulnerabilitat de dades en jocs en línia recents. Encara que el problema ja està pegat i no hi ha indicis que la informació sortís dels ordinadors, l'ensurt ha estat important i deixa diverses lliçons sobre seguretat i privadesa digital.
Com es va descobrir l'error de privadesa a Arc Raiders
L'origen de tot aquest embolic és a la integració oficial de Discord dins Arc Raiders, una funció pensada perquè els jugadors poguessin fer servir el xat de veu i text sense sortir del joc. Aquí és on entra en escena l'enginyer i blocaire tecnològic Timothy Meadows, que va ser qui va topar amb la sentència mentre analitzava com es comunicava el títol amb altres serveis.
Durant la seva investigació, Meadows va descobrir que els missatges privats de Discord entre dos usuaris (els típics DMs de tota la vida) s'estaven bolcant en un fitxer de registre local del joc. Aquest arxiu estava emmagatzemat al PC del jugador en text pla, sense cap mena de xifratge, de manera que qualsevol amb accés a l'equip podia llegir aquestes converses sense gaires complicacions.
La troballa no es va quedar només als missatges: segons el seu informe, els logs també incloïen tokens d'autenticació de Discord i altres dades sensibles, utilitzats pel joc per gestionar la integració social. A la pràctica, això significava que el fitxer podia contenir tant el contingut dels xats privats com la clau que permetia accedir al compte associat.
Meadows va detallar al seu bloc que el problema estava en la manera com el Discord Social SDK integrat a Arc Raiders tractava els esdeveniments rebuts. En lloc de filtrar allò estrictament necessari, el sistema estava registrant gairebé tot el que passava per la integració i ho deixava escrit als arxius de log, sense discriminar si eren missatges públics, privats o informació delicada d'autenticació.
Un cop publicada l'anàlisi tècnica, la situació es va propagar ràpidament per xarxes, fòrums i servidors de la comunitat del joc. A partir d'aquí, el cas es va tornar viral entre jugadors europeus i mitjans especialitzats, que van començar a qüestionar fins a quin punt podien confiar en les integracions de tercers dins dels videojocs, especialment en títols en línia i competitius.
Quines dades de Discord s'estaven guardant i per què era tan perillós
El que feia especialment delicat aquesta fallada no era només que el joc generés logs, cosa normal en qualsevol programari modern, sinó el tipus d'informació que s'acabava emmagatzemada. Entre aquestes dades es trobaven missatges privats de Discord, tokens de seguretat i altres metadades del compte, tot això guardat en carpetes accessibles del sistema, sense protecció addicional.
En termes pràctics, això implicava que qualsevol malware instal·lat al PC o qualsevol persona amb accés físic a l'ordinador podia arribar a llegir aquests fitxers amb relativa facilitat. Sense necessitat d'eines avançades, n'hi havia prou de localitzar la carpeta de logs d'Arc Raiders i obrir els fitxers de text per trobar-se amb fragments de converses privades i credencials en forma de token.
La situació era especialment problemàtica des de l'òptica de la privadesa a la Unió Europea, on el Reglament General de Protecció de Dades (RGPD) obliga les empreses a garantir una protecció adequada de la informació personal. Tot i que Embark Studios sosté que res d'aquestes dades no va sortir dels ordinadors dels usuaris, el simple fet d'emmagatzemar DMs i tokens ja suposa un risc important, sobretot si es combinen amb altres vulnerabilitats del sistema.
Convé matisar que la decisió només afectava els que van activar la integració de Discord dins Arc Raiders. És a dir, si mai vas vincular el teu compte o no vas utilitzar la funció social, els teus missatges no acabaven als registres del joc. Tot i així, molts jugadors europeus s'han preguntat què hauria passat si el problema s'hagués explotat abans de ser descobert, o si un altre bug hagués provocat que aquests logs s'enviessin, per error, a servidors externs.
Més enllà de l'impacte immediat, aquest cas recorda una cosa que sovint passa per alt: les funcions de qualitat de vida també poden obrir la porta a errors de seguretat. Un sistema pensat per fer més còmode el dia a dia del jugador es pot convertir en un punt feble si no s'implementa amb prou controls, auditories i revisions de codi, especialment quan es manegen dades privades.
La reacció d'Embark Studios: hotfix urgent i auditoria de la integració
Després de la publicació de l'informe de Meadows i l'onada de comentaris a la comunitat, Embark Studios va decidir actuar amb rapidesa. L'estudi va confirmar el problema a través del seu servidor oficial de Discord i comunicats a mitjans especialitzats, reconeixent que el comportament dels logs no era el desitjat i que es tractava d'un error en la implementació del SDK social.
En un termini molt curt, l'equip va llançar un hotfix específic per a la versió de PC que desactiva el registre d'aquestes dades sensibles als fitxers de log. El pegat, distribuït com a actualització urgent, impedeix que els missatges privats i els tokens d'autenticació es continuïn emmagatzemant en text pla, i ajusta la manera com la integració rep i processa els esdeveniments de Discord.
Embark ha remarcat que, segons les investigacions internes, cap d'aquests fitxers no es va transferir als seus servidors ni a infraestructures externes. Tot el contingut va romandre als discos dels mateixos jugadors, per la qual cosa el risc principal estava lligat a la seguretat de cada PC, i no a una bretxa massiva en centres de dades. Tot i així, l'estudi ha admès que l'incident és seriós i que no s'hauria d'haver produït.
A més de corregir l'error, la companyia n'ha iniciat una revisió més profunda de tota la integració de Discord a Arc Raiders, amb l'objectiu de reduir al mínim la informació registrada i evitar que dades personals o privades es colin de nou als logs. Aquest tipus d'auditories són cada vegada més habituals a la indústria, sobretot en jocs amb fort component en línia que operen en mercats com l'europeu, on la pressió regulatòria en matèria de privadesa és elevada.
Els desenvolupadors també han recomanat als jugadors que es prenguin un moment per reforçar les mesures bàsiques de seguretat: canviar contrasenyes importants, revisar sessions obertes en diferents dispositius i activar l'autenticació en dos passos quan sigui possible, i revisar com esborrar historial de conversa a Discord. Encara que no hi hagi evidència d'un ús maliciós de les dades registrades, mai no està de més curar-se en salut.
El paper de Discord: actualització del Social SDK i noves directrius
L'incident no només ha esquitxat Embark Studios. Discord, com a plataforma i proveïdor de l'SDK utilitzat, també s'ha vist obligada a moure fitxa. En declaracions compartides amb mitjans europeus com Eurogamer, la companyia va explicar que ha estat treballant amb l'equip d'Arc Raiders per tancar el problema i evitar que es repeteixi en altres títols.
Segons la mateixa Discord, se n'ha publicat una actualització del Discord Social SDK amb proteccions addicionals i s'han reforçat les guies per a desenvolupadors que integren els serveis en jocs i aplicacions. L'objectiu és que el kit de desenvolupament limiti millor quines dades es poden registrar, i que resulti més difícil, fins i tot per error, desar missatges privats o tokens complets a fitxers locals.
Aquest tipus de moviments són rellevants per a tot l'ecosistema, perquè no només Arc Raiders es recolza en les eines oficials de Discord. Molts altres jocs a PC, tant grans produccions com projectes independents, utilitzen el mateix SDK per mostrar presència en línia, gestionar invitacions o facilitar el xat entre amics. Si el kit incorpora més salvaguardes, el benefici s'estén al conjunt d'usuaris a Europa i la resta del món.
Per la seva banda, la comunitat ha aprofitat l'ocasió per demanar a Discord més transparència sobre quina informació pot ser accessible per als jocs quan s'activa la vinculació de comptes. Tot i que l'ús de tokens i permisos és habitual en aquests sistemes, casos com aquest recorden que una mala gestió de les dades pot acabar exposant converses que se suposaven totalment privades.
Al final, l'episodi reforça una idea que molts experts en ciberseguretat fa temps que repeteixen: qualsevol integració externa suma complexitat al sistema i, amb això, la possibilitat que es coli una fallada inesperada. Per molt popular que sigui l'eina o per molt estàndard que sembli el SDK, no és sobrer revisar amb lupa com s'implementa en cada joc concret.
Impacte per als jugadors a Espanya i Europa i lliçons que deixa el cas
En territoris com Espanya i la resta de la Unió Europea, on la privadesa digital té un pes cada vegada més gran en el debat públic, el que ha passat amb Arc Raiders ha servit de recordatori incòmode sobre la fragilitat de les dades personals. Molts jugadors donen per fet que els seus missatges privats estan blindats, quan a la pràctica depenen de múltiples capes de programari i serveis interconnectats.
L'incident ha avivat converses en comunitats hispanoparlants sobre temes com la configuració de seguretat a Discord, l'ús de xats alternatius i la conveniència de limitar quins comptes vinculem als jocs. També ha augmentat l'interès per conèixer quin tipus d'informació recullen exactament els títols en línia, més enllà del que s'indica en termes i condicions que gairebé ningú no llegeix a fons; i sobre com protegir la teva privacitat.
Per als estudis que operen a Europa, aquest episodi és un altre senyal que les auditories de seguretat i les proves de tercers ja no són opcionals. Comptar amb investigadors independents com Meadows, que es prenen el temps d'examinar integracions i reportar troballes de manera responsable, és un recurs valuós que pot evitar problemes més grans, multes regulatòries i danys reputacionals difícils de reparar.
Des del punt de vista del jugador, convé assumir certes rutines: revisar periòdicament quines aplicacions tenen accés als nostres comptes, desconnectar integracions que no usem, evitar compartir informació sensible en xats que puguin quedar registrats i, si cal, eliminar fotos a Discord, a més de mantenir l'equip protegit davant de malware. No es tracta de jugar amb por, però sí de prendre's la seguretat una mica més de debò.
Allò viscut amb l'error de privadesa de Discord a Arc Raiders mostra fins a quin punt una fallada aparentment tècnica pot acabar convertint-se en un assumpte de confiança entre estudis, plataformes i comunitat. El pegat ja està desplegat i el risc immediat sembla controlat, però el debat sobre com es manegen les nostres dades, especialment a Europa, seguirà sobre la taula durant molt de temps.
